黑曜石插件被滥用部署远程访问木马

打印首页分析黑曜石插件在社会工程活动中被滥用，以提供新的 PHANTOMPULSE RAT 文章新颖的活动滥用黑曜石笔记应用程序，以 PHANTOMPULSE RAT 为目标金融和加密专业人士黑曜石插件在社会工程活动中被滥用，以提供新的 PHANTOMPULSE RAT HIGH 四月 16, 2026 5m 阅读恶意软件威胁行为者网络钓鱼相关实体威胁行为者 REF6598产品与技术 Obsidian PowerShell Telegram 其他 PHANTOMPULSE PHANTOMPULL LinkedIn MITRE ATT&CK 技术 T1566.002 初始访问鱼叉式网络钓鱼链接 T1204.002 执行恶意文件 T1059.001 执行 PowerShell T1102.002 命令和控制双向通信 T1055 防御规避进程注入 T1112 防御规避修改注册表报告 Export Markdown 执行摘要安全研究人员发现了一种高度针对性的社会工程活动 (REF6598)，该活动将 Obsidian 笔记应用程序武器化，以传播名为 PHANTOMPULSE 的先前未记录的远程访问木马 (RAT)。该活动针对 Windows 和 macOS 上的金融和加密货币领域的个人。攻击者使用 LinkedIn 和 Telegram 等平台建立信任，然后将受害者引诱到恶意共享的黑曜石金库中。攻击链依赖于欺骗用户启用社区插件，然后执行代码来部署 RAT。 PHANTOMPULSE 展示了先进的功能，包括使用以太坊区块链动态解析其命令和控制 (C2) 服务器地址，使其具有高度的恢复能力。威胁概述这次攻击被指定为 REF6598，是一个多阶段的社会工程工作。威胁行为者冒充风险投资家，在专业网站上与目标进行接触，然后将对话转移到私人 Telegram 群组。主要的诱惑是通过共享的、云托管的黑曜石保险库进行协作的邀请。一旦受害者打开共享保险库，社会工程就会触发感染。系统会提示受害者启用“已安装的社区插件”同步功能。这种看似无害的操作需要用户手动批准，但却是妥协的关键。它启用共享保管库中存在的合法黑曜石插件（“Shell Commands”和“Hider”）的恶意版本。技术分析 Windows 和 macOS 之间的攻击链略有不同，但遵循相同的一般原则：初始访问 (T1566.002)：攻击者在 LinkedIn/Telegram 上使用社交工程来说服目标打开恶意共享黑曜石金库。执行 (T1204.002)：操纵用户在 Obsidian 中启用社区插件。此操作通过受损的“Shell Commands”插件执行恶意脚本。暂存：在 Windows 上，执行 PowerShell 脚本。该脚本会删除一个名为 PHANTOMPULL 的加载程序。在 macOS 上，使用 AppleScript 会发生类似的过程。有效负载交付：PHANTOMPULL 加载程序解密最终有效负载（PHANTOMPULSE RAT）并将其直接启动到内存中，以逃避基于文件的检测（T1055）。命令与控制 (T1102.002)：PHANTOMPULSE 使用新颖的 C2 机制。它从硬编码钱包地址查询以太坊区块链以获取最新交易。 C2 服务器的 IP 地址嵌入在该交易数据中，为恶意软件提供了一种去中心化且抗审查的方式来接收指令。一旦激活，PHANTOMPULSE 可以捕获击键、截取屏幕截图、泄露文件并执行任意命令。影响评估成功的妥协使攻击者能够完全访问受害者的计算机。对于金融和加密领域的专业人士来说，这可能会导致敏感的公司数据、知识产权、交易策略，以及最重要的加密货币钱包密钥和交换凭证被盗。该攻击的跨平台性质扩大了潜在的受害者群体。基于区块链的 C2 的使用表现出高度的复杂性，使得威胁基础设施难以被破坏。用于检测的 Cyber Observables 类型 process_name 值 Obsidian.exe 描述监视 Obsidian 生成的子进程，例如 powershell.exe、cmd.exe 或 osascript。类型 command_line_pattern 值 powershell -ExecutionPolicy 绕过说明可疑的 PowerShell 执行，尤其是由 Obsidian 等非标准应用程序启动时。类型 network_traffic_pattern 值来自意外进程的以太坊区块链节点或网关的出站连接。说明可能表明 PHANTOMPULSE 尝试解析其 C2 地址。类型 file_path 值 [Vault]/.obsidian/plugins/ 描述监视 Obsidian 插件目录中文件的创建或修改，尤其是在官方插件市场之外。检测和响应过程监控（D3-PA：过程分析）：实施 EDR 规则来检测黑曜石进程并发出警报